Η Ομάδα Ανάλυσης Απειλών της Google (TAG) αναφέρει ότι χάκερς που χρηματοδοτούνται από την κυβέρνηση της Βόρειας Κορέας, στοχεύουν για άλλη μια φορά ερευνητές ασφαλείας, χρησιμοποιώντας ψεύτικους λογαριασμούς Twitter και LinkedIn.
Read also: Three years in jail for celebrity Twitter account hacker
Οι χάκερς δημιούργησαν επίσης ένα site για μια ψεύτικη εταιρεία με την ονομασία “SecuriElite” – που βρίσκεται στην Τουρκία – και υποτίθεται ότι προσφέρουν υπηρεσίες ασφαλείας, με την ομάδα ασφαλείας της Google να έχει επικεντρωθεί στο κυνήγι των κρατικών χάκερς που ανακαλύφθηκαν στις 17 Μαρτίου.
Όλοι οι λογαριασμοί που δημιουργήθηκαν στο Twitter και το LinkedIn από τους χάκερς της Βόρειας Κορέας και συνδέθηκαν με αυτή τη νέα κακόβουλη εκστρατεία, έχουν πλέον διαγραφεί.
See more: Google collects 20x more data from Android than Apple collects from iOS
Οι ερευνητές παρατήρησαν ότι το site που χρησιμοποιείται σε αυτήν την εκστρατεία έχει ένα link προς ένα δημόσιο κλειδί PGP, ίδιο με εκείνο που βρέθηκε στο blog των εισβολέων σε μια εκστρατεία που εντοπίστηκε τον Ιανουάριο. Ωστόσο, οι επιθέσεις ανακαλύφθηκαν στην αρχική τους φάση, καθώς το site της SecuriElite δεν είχε ακόμη παραδώσει κακόβουλα payloads.
O Adam Weidemann, ερευνητής στην Ομάδα Ανάλυσης Απειλών της Google, ανέφερε τα ακόλουθα: «Προς το παρόν, δεν έχουμε παρατηρήσει το νέο site των επιτιθέμενων να εξυπηρετεί κακόβουλο περιεχόμενο, αλλά το έχουμε προσθέσει προληπτικά στο Google Safebrowsing. Με βάση τη δραστηριότητά τους, συνεχίζουμε να πιστεύουμε ότι αυτοί οι κακόβουλοι παράγοντες είναι επικίνδυνοι και πιθανότατα έχουν περισσότερες zero-days.»
Τον Ιανουάριο, κρατικοί χάκερς της Βόρειας Κορέας που είναι γνωστοί με την ονομασία "Lazarus", στόχευσαν ερευνητές ασφαλείας με social engineering επιθέσεις, χρησιμοποιώντας fake social media personas, παρουσιαζόμενοι ως ερευνητές ασφαλείας.
Suggestion: Defence industry: The main target of North Korean hackers!
Όπως αναφέρει το Bleeping Computer, οι επιτιθέμενοι έστελναν Visual Studio Projects και links που παρέπεμπαν σε ένα κακόβουλο site που φιλοξενούσε exploit kits, τα οποία είχαν σχεδιαστεί για την εγκατάσταση backdoors σε υπολογιστές των στοχοποιημένων ερευνητών.
Ερευνητές που χρησιμοποιούν πλήρως patched υπολογιστές Windows 10 και εκτελούν την πιο πρόσφατη έκδοση του Google Chrome «μολύνθηκαν» στα πλαίσια αυτών των επιθέσεων, γεγονός που υποδηλώνει ότι οι χάκερς χρησιμοποιούσαν zero-day ευπάθειες για να παραβιάσουν τις συσκευές των στόχων.
Μια πρόσθετη zero-day ευπάθεια του Internet Explorer ανακαλύφθηκε από την εταιρεία κυβερνοασφάλειας “ENKI” της Νότιας Κορέας, μετά από αποτυχημένες επιθέσεις εναντίον ερευνητών ασφαλείας της.
Τον Ιανουάριο, ερευνητές από τη Microsoft και την Google ανακάλυψαν μια εκστρατεία κατασκοπείας στον κυβερνοχώρο με στόχο ερευνητές ευπαθειών και απέδωσαν τις επιθέσεις στην APT ομάδα “Zinc” που συνδέεται με τη Βόρεια Κορέα. Οι χάκερς χρησιμοποίησαν ένα custom backdoor για να παραβιάσουν τα συστήματα των στόχων.
